En com­plé­ment de mon billet pré­cé­dent sur la ques­tion, voici quel­ques con­seils sup­plé­men­tai­res sur le choix des mots de pas­ses que nous deman­dent inva­ria­ble­ment tous les ser­vi­ces infor­ma­ti­ques.

  1. Selon l’impor­tance du ser­vice uti­lisé, il faut choi­sir un mot de passe fort ou on peut se con­ten­ter d’un mot de passe basi­que ; et il est plus impor­tant de choi­sir un bon mot de passe que de le chan­ger sou­vent (dis­cus­sions ici, et ). Il ne sert à rien de pro­té­ger un forum de dis­cus­sion par un mot de passe fort, on ne perd pas grand chose si le compte est piraté, par con­tre, son login pro­fes­sion­nel mérite plus d’atten­tion !
  2. Ne pas uti­li­ser le même mot de passe pour plu­sieurs sites. En effet, si un atta­quant récu­père le mot de passe en clair, il pourra essayer le même cou­ple login/mot de passe sur d’autres sites pour y accé­der aussi. Une pos­si­bi­lité est de géné­rer un mot de passe dif­fé­rent pour cha­que site avec une base com­mune et un ou plu­sieurs carac­tè­res liés au non du site (pas de manière évi­dente cepen­dant). On garde ainsi un mot de passe facile à mémo­ri­ser mais dif­fé­rent pour cha­que site. Il est bien sûr tou­jours pos­si­ble d’uti­li­ser un géné­ra­teur de mots de passe et un cof­fre fort logi­ciel pour les enre­gis­trer. Pour les sites web, les navi­ga­teurs web font cela très bien.
  3. Un der­nier point : 2 liens vers des arti­cles dis­cu­tant de la qua­lité des mots de pas­ses uti­li­sés en pra­ti­que : ici et .
  4. <Ajouté le 15 octo­bre.> Encore un arti­cle récent de Bruce Sch­neier sur le sujet : Recent Deve­lop­ments in Pass­word Cra­cking. Il y com­mente le fait que les mots de passe sont de plus en plus fai­bles par rap­port aux logi­ciels de cas­sage de mots de passe et y rap­pelle deux tech­ni­ques pour cons­truire des mots de passe sûrs : la  tech­ni­que de Sch­neier et celle de XKCD.